樊瑞

《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》建立了中國(guó)數(shù)據(jù)出境安全管理的基本框架，《數(shù)據(jù)出境安全評(píng)估辦法》明確了具體操作規(guī)則。圖/IC

中國(guó)對(duì)數(shù)據(jù)出境的安全評(píng)估有了明確規(guī)則。

7月7日，國(guó)家互聯(lián)網(wǎng)信息辦公室（下稱(chēng)“國(guó)家網(wǎng)信辦”）公布《數(shù)據(jù)出境安全評(píng)估辦法》（下稱(chēng)《辦法》）。該《辦法》自2022年9月1日起施行。

國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人表示，出臺(tái)《辦法》旨在落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的規(guī)定，規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國(guó)家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，切實(shí)以安全保發(fā)展、以發(fā)展促安全。

多位專(zhuān)家在接受《財(cái)經(jīng)》記者采訪時(shí)表示，《辦法》彌補(bǔ)了數(shù)據(jù)出境的安全漏洞，健全了數(shù)據(jù)出境安全屏障。他們建議，相關(guān)企業(yè)在數(shù)據(jù)出境活動(dòng)發(fā)生前，應(yīng)依法開(kāi)展風(fēng)險(xiǎn)自評(píng)估、申報(bào)，并通過(guò)數(shù)據(jù)出境安全評(píng)估。

什么情況需要安全評(píng)估？

《辦法》中明確，其適于數(shù)據(jù)處理者向境外提供在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)和個(gè)人信息的安全評(píng)估。同時(shí)提出，數(shù)據(jù)出境安全評(píng)估堅(jiān)持事前評(píng)估和持續(xù)監(jiān)督相結(jié)合、風(fēng)險(xiǎn)自評(píng)估與安全評(píng)估相結(jié)合等原則。

《辦法》明確，數(shù)據(jù)出境活動(dòng)包括兩種情況：一是數(shù)據(jù)處理者將在境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲(chǔ)至境外。二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲(chǔ)在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問(wèn)或調(diào)用。

《辦法》還規(guī)定，在四種情況下，數(shù)據(jù)處理者應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估。

（一）數(shù)據(jù)處理者向境外提供重要數(shù)據(jù);（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;（三）自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息;（四）國(guó)家網(wǎng)信部門(mén)規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。

根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等的運(yùn)營(yíng)企業(yè)，大型電信運(yùn)營(yíng)商、能源企業(yè)、民航公司、金融機(jī)構(gòu)等都屬于此類(lèi)主體范圍。

而為何將處理100萬(wàn)人的個(gè)人信息作為是否需要進(jìn)行安全評(píng)估的標(biāo)準(zhǔn)？中國(guó)法學(xué)會(huì)網(wǎng)絡(luò)與信息法學(xué)研究會(huì)副秘書(shū)長(zhǎng)、中國(guó)社科院法學(xué)所網(wǎng)絡(luò)與信息法室副主任周輝透露，在《辦法》制定中，100萬(wàn)人的標(biāo)準(zhǔn)曾經(jīng)有過(guò)爭(zhēng)議，“許多中國(guó)企業(yè)的用戶(hù)都可能超過(guò)這一標(biāo)準(zhǔn)，雖然100萬(wàn)人占中國(guó)人口的比重并不大，但是要放在全球范圍內(nèi)來(lái)看，這是很大的一個(gè)規(guī)?！?。

北京德恒律師事務(wù)所合伙人、網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室數(shù)據(jù)安全咨詢(xún)專(zhuān)家劉揚(yáng)對(duì)《財(cái)經(jīng)》記者表示，“我的理解是，對(duì)達(dá)到100萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者的安全要求，應(yīng)當(dāng)?shù)韧陉P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者?！币簿褪钦f(shuō)，相關(guān)機(jī)構(gòu)如果出現(xiàn)數(shù)據(jù)安全問(wèn)題，對(duì)公眾造成的影響不低于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。

那么，哪些類(lèi)型的個(gè)人信息會(huì)受到重點(diǎn)關(guān)注？

周輝指出，結(jié)合《個(gè)人信息保護(hù)法》的有關(guān)規(guī)定來(lái)看，個(gè)人信息是以電子或者其他方式記錄的，與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，但不包括匿名化處理后的信息。例如，個(gè)人的賬號(hào)密碼、身份證件號(hào)碼、出生日期等。此外，還包括敏感個(gè)人信息，即一旦被泄露或被非法使用，容易導(dǎo)致具體個(gè)人人格尊嚴(yán)受到侵害，或人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，具體包括生物識(shí)別、宗教信仰、特定身份、健康狀況、金融賬戶(hù)、行蹤軌跡等信息，以及不滿14周歲的未成年人信息。

如何進(jìn)行安全評(píng)估？

根據(jù)《辦法》，數(shù)據(jù)出境安全評(píng)估主要包括七個(gè)方面。

一是數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性。

二是境外接收方所在國(guó)家或者地區(qū)的數(shù)據(jù)安全保護(hù)政策法規(guī)和網(wǎng)絡(luò)安全環(huán)境對(duì)出境數(shù)據(jù)安全的影響;境外接收方的數(shù)據(jù)保護(hù)水平是否達(dá)到中國(guó)法律、行政法規(guī)的規(guī)定和強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的要求。

三是出境數(shù)據(jù)的規(guī)模、范圍、種類(lèi)、敏感程度，出境中和出境后遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)。

四是數(shù)據(jù)安全和個(gè)人信息權(quán)益是否能夠得到充分有效保障。

五是數(shù)據(jù)處理者與境外接收方擬訂立的法律文件中是否充分約定了數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)。

六是遵守中國(guó)法律、行政法規(guī)、部門(mén)規(guī)章情況。

七是國(guó)家網(wǎng)信部門(mén)認(rèn)為需要評(píng)估的其他事項(xiàng)。

《辦法》也明確了數(shù)據(jù)出境安全評(píng)估的具體流程。

首先是數(shù)據(jù)處理者在申報(bào)前，應(yīng)當(dāng)開(kāi)展自評(píng)。此后，應(yīng)通過(guò)所在地省級(jí)網(wǎng)信部門(mén)向國(guó)家網(wǎng)信部門(mén)提交申報(bào)，而國(guó)家網(wǎng)信部門(mén)在收到申報(bào)材料之日起7個(gè)工作日內(nèi)，確定是否受理，并通知申報(bào)者。受理申報(bào)后，國(guó)家網(wǎng)信部門(mén)組織國(guó)務(wù)院有關(guān)部門(mén)、省級(jí)網(wǎng)信部門(mén)、專(zhuān)門(mén)機(jī)構(gòu)等進(jìn)行安全評(píng)估。國(guó)家網(wǎng)信部門(mén)在發(fā)出受理通知書(shū)之日起45個(gè)工作日內(nèi)完成評(píng)估。通過(guò)數(shù)據(jù)出境安全評(píng)估的結(jié)果有效期為2年。如果在有效期內(nèi)，發(fā)生影響出境數(shù)據(jù)安全的情況，需要重新申報(bào)評(píng)估。

《辦法》距離正式生效不足兩個(gè)月，將對(duì)企業(yè)產(chǎn)生什么影響？

世輝律師事務(wù)所合伙人王新銳指出，本身用戶(hù)數(shù)量較多（即超過(guò)100萬(wàn)）的企業(yè)，以及業(yè)務(wù)中涉及大量出境場(chǎng)景的跨國(guó)企業(yè)，都會(huì)受到較大影響，可能觸發(fā)安全評(píng)估。

周輝表示，《辦法》實(shí)施后，將對(duì)達(dá)到評(píng)估申報(bào)標(biāo)準(zhǔn)的數(shù)據(jù)處理者產(chǎn)生約束性影響，尤其是金融、電信、衛(wèi)生健康、能源、民航等重要行業(yè)和領(lǐng)域。這些領(lǐng)域的機(jī)構(gòu)向境外提供的數(shù)據(jù)，一方面可能涉及國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的重要數(shù)據(jù);另一方面因?yàn)樽陨肀淮_定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，同時(shí)，其處理數(shù)據(jù)的量級(jí)輕易即可達(dá)到“100萬(wàn)人以上”。

周輝建議，上述相關(guān)行業(yè)，應(yīng)當(dāng)盡快適應(yīng)《辦法》的要求，在數(shù)據(jù)出境活動(dòng)發(fā)生前依法開(kāi)展自評(píng)估、申報(bào)并通過(guò)評(píng)估。如果目前不符合《辦法》的管理要求，應(yīng)當(dāng)在《辦法》規(guī)定的期限（2023年3月1日）前完成整改。周輝還表示，這可能意味著數(shù)據(jù)出境活動(dòng)頻率、數(shù)量會(huì)受到一定程度的影響。一些難以在期限內(nèi)完成整改的數(shù)據(jù)出境業(yè)務(wù)，可能因合規(guī)要求而暫停甚至終止。

劉揚(yáng)建議，在進(jìn)行數(shù)據(jù)出境安全評(píng)估過(guò)程中，應(yīng)當(dāng)結(jié)合企業(yè)實(shí)際情況，聘請(qǐng)專(zhuān)業(yè)人員輔助評(píng)估，形成規(guī)范化流程。

補(bǔ)齊數(shù)據(jù)出境的安全屏障

在全球化背景下，中國(guó)的數(shù)據(jù)出境已呈常態(tài)化趨勢(shì)。

周輝指出，隨著全球數(shù)字經(jīng)濟(jì)的快速發(fā)展和大數(shù)據(jù)、互聯(lián)網(wǎng)等技術(shù)的廣泛應(yīng)用，數(shù)據(jù)出境活動(dòng)日益普遍。目前，一些國(guó)家和地區(qū)已建立起有關(guān)數(shù)據(jù)出境的管理制度，幾乎都將數(shù)據(jù)跨境安全作為重點(diǎn)和出發(fā)點(diǎn)。

2022年5月19日，《辦法》經(jīng)國(guó)家網(wǎng)信辦2022年第10次室務(wù)會(huì)議審議通過(guò)?！掇k法》共有20條，規(guī)定了數(shù)據(jù)出境安全評(píng)估的范圍、條件和程序，為數(shù)據(jù)出境安全評(píng)估提供了具體指引。

中國(guó)科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院、網(wǎng)絡(luò)空間安全學(xué)院教授左曉棟告訴《財(cái)經(jīng)》記者，數(shù)據(jù)是國(guó)家的戰(zhàn)略資源，“如果一個(gè)國(guó)家對(duì)于數(shù)據(jù)出境不設(shè)防，相當(dāng)于國(guó)家安全大門(mén)洞開(kāi)。在當(dāng)今社會(huì)，每一個(gè)國(guó)家都應(yīng)當(dāng)建立數(shù)據(jù)出境安全的有關(guān)管理制度”。

《辦法》要求，對(duì)可能會(huì)影響國(guó)家安全、公共利益的數(shù)據(jù)出境，要經(jīng)過(guò)網(wǎng)信部門(mén)的安全評(píng)估。左曉棟指出，《辦法》在很大程度上彌補(bǔ)了國(guó)家安全漏洞，健全了國(guó)家數(shù)據(jù)出境安全的屏障。

實(shí)際上，中國(guó)近年正在逐步完善對(duì)于數(shù)據(jù)出境的相關(guān)立法。

2016年11月，全國(guó)人大常委會(huì)通過(guò)《網(wǎng)絡(luò)安全法》，其中第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)進(jìn)行安全評(píng)估。同時(shí)明確，安全評(píng)估辦法由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定。

2021年，全國(guó)人大常委會(huì)先后通過(guò)了《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，將數(shù)據(jù)出境安全評(píng)估制度的實(shí)施范圍作出擴(kuò)展，不再將其局限于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。

左曉棟指出，根據(jù)一系列立法，中國(guó)完善了數(shù)據(jù)出境安全評(píng)估制度的法律依據(jù)。他還指出，《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》建立了中國(guó)數(shù)據(jù)出境安全管理的基本框架，但具體落地還有待細(xì)則和明確。2021年10月29日，國(guó)家網(wǎng)信辦發(fā)布了《數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》，八個(gè)月后，《辦法》正式出臺(tái)。

周輝指出，在《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》實(shí)施前，國(guó)內(nèi)不少機(jī)構(gòu)的數(shù)據(jù)出境活動(dòng)基本處于“裸奔”狀態(tài)，有時(shí)數(shù)據(jù)權(quán)利人甚至都不清楚自己數(shù)據(jù)被出境，嚴(yán)重威脅著個(gè)人信息權(quán)益、社會(huì)公共利益乃至國(guó)家安全。通過(guò)立法確立了數(shù)據(jù)出境安全評(píng)估的基本制度后，涉及數(shù)據(jù)出境的機(jī)構(gòu)也迫切希望盡快明確具體的規(guī)則，以解決合規(guī)標(biāo)準(zhǔn)不清晰的問(wèn)題，《辦法》由此應(yīng)運(yùn)而生。

數(shù)據(jù)安全出境的全球趨勢(shì)

如何保證數(shù)據(jù)跨境流動(dòng)安全，是一個(gè)全球命題。

歐盟的數(shù)據(jù)跨境規(guī)則主要集中在《通用數(shù)據(jù)保護(hù)條例》（GDPR）中。周輝向《財(cái)經(jīng)》記者介紹，GDPR強(qiáng)調(diào)向歐盟境外提供個(gè)人信息不得削弱對(duì)個(gè)人信息的保護(hù)力度，除了獲得個(gè)人信息主體知情同意等特定例外情況外，具體要求包括：

第一，需要獲得歐盟充分保護(hù)認(rèn)定，這種認(rèn)定實(shí)質(zhì)上是歐盟對(duì)他國(guó)法律制度、監(jiān)管機(jī)構(gòu)設(shè)置、參加國(guó)際條約等方面的評(píng)估，是最嚴(yán)格的方式。一旦進(jìn)入這一白名單，數(shù)據(jù)跨境的便利性最大。目前只有新加坡、瑞士、日本等極少數(shù)國(guó)家通過(guò)了認(rèn)定。

第二，未通過(guò)認(rèn)定國(guó)家的數(shù)據(jù)接收方，滿足以下條件之一，歐盟的數(shù)據(jù)可以出境：1.其所在國(guó)與歐盟有數(shù)據(jù)跨境協(xié)議;2.采用歐盟委員會(huì)或歐盟委員會(huì)批準(zhǔn)的成員國(guó)通過(guò)的標(biāo)準(zhǔn)數(shù)據(jù)保護(hù)條款;3.遵守經(jīng)歐盟監(jiān)管機(jī)構(gòu)批準(zhǔn)的行為準(zhǔn)則，以及數(shù)據(jù)處理者自身的數(shù)據(jù)保護(hù)承諾。

第三，對(duì)于企業(yè)集團(tuán)或跨國(guó)企業(yè)內(nèi)部子公司及其雇員的數(shù)據(jù)跨境，可以遵循“有約束力的公司規(guī)則”。該規(guī)則由企業(yè)集團(tuán)跨國(guó)企業(yè)制定，且需要經(jīng)過(guò)歐盟監(jiān)管機(jī)構(gòu)批準(zhǔn)。

左曉棟表示，中國(guó)的數(shù)據(jù)出境安全管理制度，應(yīng)該說(shuō)和國(guó)際慣例，特別是歐盟保持一致，“明確了數(shù)據(jù)出境安全的幾種情形”。

而美國(guó)則有不同的處理方式。周輝表示，美國(guó)自稱(chēng)數(shù)據(jù)自由流動(dòng)，對(duì)數(shù)據(jù)跨境沒(méi)有嚴(yán)格的法律限制，更多通過(guò)市場(chǎng)機(jī)制解決。但在2022年4月，美國(guó)宣布了全球跨境隱私規(guī)則（CBPR）聲明，試圖將亞太經(jīng)濟(jì)合作組織（APEC）框架下的數(shù)據(jù)跨境傳輸機(jī)制（CBPR）的適用擴(kuò)展至全球范圍。CBPR的核心是建立基于CBPR和處理者隱私識(shí)別系統(tǒng)（PRP）的國(guó)際認(rèn)證體系，通過(guò)在全球推廣CBPR和PRP系統(tǒng)，支持所謂的數(shù)據(jù)自由流動(dòng)。